Az ESET sebezhetőség- és patch management képessége csökkenti a kis- és középvállalkozások biztonsági felelősségét
Bár nem minden kis- és középvállalkozás (KKV) esetében működőképes, a kiberbiztosítást azért vesszük górcső alá, hogy megvitathassuk az IT biztonság fontosságát a mai, egyre összetettebbé váló fenyegetésekkel szemben. A vállalatoknak biztonságos módszereket kell találniuk arra, hogy napjaink fenyegetései mellett és azok ellenére relevánsak maradjanak a piacon, menedzselhessék a kereskedelmi életüket és logisztikai feladataikat, valamint fenntarthassák és építhessék üzleti jelenlétüket és hírnevüket. A kiberbiztosítás tehát egy kárenyhítésre vonatkozó óvintézkedés az olyan kockázatokkal szemben, amelyek időnként biztonság incidenshez vezethetnek.
Sok kiberbiztosítási kötvény kizár bizonyos konkrét biztonsági eseményeket. A biztosítók nagyobb valószínűséggel szüntetik meg a biztosítást, ha egy vállalat nem tesz lépéseket egy ismert szoftver olyan sebezhetőségének megszüntetéséért, amely biztonsági incidenshez vezethet és elérhető hozzá az iparág által támogatott frissítés is. Az IBM Security 2022-es Cost of a Data Breach Report című jelentése szerint a biztonsági rések 13%-a harmadik féltől származó szoftverek sebezhetőségére vezethető vissza. A biztosítók ilyen jellegű előítéletei tehát teljesen jogosak. Sajnos azok a vállalkozások, amelyek nem foglalkoznak a harmadik féltől származó szoftverek sebezhetőségével, veszélybe sodorják magukat, nem is beszélve az így okozott biztonsági incidens azonosításához és elhárításához szükséges időről, amely átlagosan 284 nap. Az így kialakuló helyzet teljesen elvonhatja az IT biztonsági csapat kapacitását és ezzel egyidejűleg növelheti a költségeket. Tehát, bár a kiberbiztosítás egy, az akut kockázatok elleni kárenyhítésre vonatkozó óvintézkedés lehet, a magas színvonalú sebezhetőség- és patch management az, amely igazán jó és valóban működőképes megoldás.
A kapcsolódó kockázatok és folyamathibák kiküszöbölése érdekében az ESET bevezette saját sebezhetőség-kiértékelési (VA) és patch management (PM) funkcióját az ESET PROTECT platformjában. A termékcsomag segíti a különböző méretű vállalatokat abban, hogy időben és hatékonyan észlelhessék a biztonsági fenyegetéseket és elháríthassák azokat, csökkentve ezzel az adatbiztonsággal kapcsolatos incidensek és támadások kockázatát. Az ESET megoldásával proaktívan kezelhetők azok a kulcsfontosságú felelősségi területek, amelyek egy kiberbiztosítási szerződés megkötésének előfeltételei.
A sebezhetőségek kiértékelése és a patch management segítséget nyújthat a kkv-k biztonsági hiányosságainak kezelésében.
A sebezhetőségek kiértékelése és a patch management gyakran a kiberbiztosítási ajánlatok követelménye, ami nem meglepő, hiszen a jelenlegi fenyegetettségi környezetben bármilyen biztonsággal kapcsolatos incidens gyors cselekvést igényel. A sebezhetőségek kezelése az IT-biztonsági csapatok egyik alaptevékenysége, hiszen az egyébként a fő kompetenciájukra összpontosító vállalkozások egyik lehetséges hiányosságát orvosolja azáltal, hogy így a vállalat kevésbé lesz felelősségre vonható egy esetleges kibertámadás esetén, kisebb lesz az esélye egy javítatlan, de ismert sebezhetőségből eredő biztonsági incidensnek és az üzletmenet-folytonosság megszakadásának.
Ez azért fontos, mert 2022-ben az adatvédelmi incidensek átlagos költsége a számítások szerint megközelítette a 4,35 millió dollárt, és a Ponemon Intézet által készített 2022-es ServiceNow-tanulmány alapján az áldozatok 57%-a szerint az esemény a nem javított sebezhetőségek miatt következett be. Ami a tanulmány szerint még rosszabb, hogy 34%-uk tudott ezekről a sebezhetőségekről, tehát közvetlenül felelősek az incidens kialakulásáért, és ezért a biztosításuk valószínűleg egyoldalúan felmondható.
A támadások elhárítása érdekében, a sebezhetőség és patch management biztosítja a szükséges eszközöket a problémák jelentésére és elhárítására. Sok vállalatnak a szűkös erőforrásaik miatt segítségre lenne szüksége a javítások és frissítések a teljes hálózaton való menedzseléséhez, ami gyakran késedelmes vagy hiányos javításokhoz vezet, így a végpontok potenciális támadások folyamatos célpontjaivá válnak. Mindemellett a sebezhetőségek azonosítása és súlyosság szerinti rangsorolása nehéz és időigényes feladat, ami az erőforrások nem hatékony elosztásához és a kockázatok növekedéséhez vezet.
Azoknak a kis- és középvállalkozásoknak, amelyek a sebezhetőség és patch management feladatkörükhöz keresnek gyakorlati útmutatást, nem kell messzire menniük; a menedzselt szolgáltatók (MSP) üzleti modelljének középpontjában ez a kérdés áll, és már az ügyfelek végpontvédelmének biztosítása előtt is központi szerepet töltött be a szolgáltatási kínálatukban. Ez a tény jól mutatja a sebezhetőségek kiértékelésének és a patch managementnek a kiemelkedően magas szükségességét és azt, hogy a kis- és középvállalkozások többsége miért szervezi ki ezt a feladatot más, biztonsággal kapcsolatos összetett feladataival együtt.
Mivel a kisvállalkozások nem biztos, hogy hajlandóak, vagy képesek tájékozódni azokról a sebezhetőségekről és kötelezettségekről, amelyek tönkretehetik vállalkozásukat, ezért kezdetnek a rendelkezésre álló megoldások és az azokkal kapcsolatos szabályzások/házirendek (IT-biztonsági infrastruktúra és folyamatok) összehangolása nagyszerű kiindulópontot jelenthet. Ennek az alapvetésnek a megértése biztosíthatja a szituációk megfelelő kezelésének elengedhetetlen feltételeit a biztosító és az ügyfél oldaláról is. Az ügyfél részéről ezt a szerepet egy hozzáértő, tapasztalt IT-biztonsági szakember vagy alternatívaként egy MSP/MSSP is betöltheti, mivel ezek vállalati szintű végpontvédelmet tudnak nyújtani és ugyanakkor a kritikus V + PM feladatokat is el tudják látni.
A technológia bevezetésének növekvő terhei vs. kiberbiztonság
A kiberbiztonság prioritásainak a digitális technológiák exponenciális elfogadási ütemével párhuzamosan kell növekedniük. Ennek egyik kiemelkedő példája a vállalkozások egyre nagyobb arányú felhős jelenléte, amit az IBM Security 2022-es Cost of a Data Breach Report című jelentése is bizonyít, ahol kimutatták, hogy a kockázatok egyre nagyobb hányada (45%) származik a felhőalapú biztonsági incidensekből. Ez azt mutatja, hogy a biztonságot házon belül kezelő vállalkozásoknak komolyan kell venniük, hogy egyre több alapvető védelmi feladatot fedjenek le, beleértve a sebezhetőségek kiértékelését és a patch managementet. Az MSP-k, amelyek bebizonyították, hogy jártasak a digitális átalakulás lehetővé tételében és a felhőalapú alkalmazások adminisztrálásában, létfontosságú szerepet játszanak az ügyfeleik biztonságának növelésében azáltal, hogy átvállalják ezeket az alapvető védelmi feladatokat. Ha a sebezhetőségek kiértékelése és a patch management a végpontok védelmével együtt kerül megvalósításra és a karbantartásuk is együtt történik, akkor a kibertámadások – beleértve az ellátási lánc-alapú, a nulladik napi és az adathalász támadásokat is – visszaverésének első számú eszközei lehetnek.
A változó fenyegetettségi környezet kezelésében bekövetkezett előrelépések és változások hatására a vállalkozások egyre inkább az észlelési és elhárítási képességekre összpontosítanak. Nem szabad azonban elhanyagolni az olyan megelőzési fázishoz kapcsolódó területeket, mint például a sebezhetőségek kiértékelése és a patch management.
Hogyan segíthet az ESET a sebezhetőség és a patchek menedzselésében?
A megfelelő sebezhetőség- és patch management (V&PM) megoldások iránti igény folyamatosan jelen van, és a kis- és középvállalkozások számára – akár házon belüli beruházásokat hajtanak végre, akár kiszervezett MSP-megoldásokba fektetnek be – nagy lehetőségek rejlenek a hatékony, automatizált és könnyen használható biztonsági megoldások integrálásában.
"Mivel a kibertámadások folyamatosan fejlődnek és a biztonsági igények egyre összetettebbé válnak, azon dolgoztunk, hogy vállalati szintű ajánlataink most már egyértelműen tükrözzék a különböző méretű vállalkozások a fenyegetések hatására változó igényeit" - mondta Michal Jankech, az ESET SMB és MSP szegmensért felelős alelnöke. "Azért vagyunk itt, hogy segítsünk. Az ESET Vulnerability and Patch Management for ESET PROTECT bevezetésével biztosíthassuk a gyors kármentesítés/helyreállítás feltételeit, lehetővé téve a vállalkozások számára, hogy mind az üzletmenettel kapcsolatos fennakadások, mind a költségek minimálisra csökkenjenek" - folytatta Jankech.
A biztosítók példáját követve a jó biztonsági gyakorlat alapja a sebezhetőségek felderítésével, a patchek menedzselésével és a frissítések futtatásával kapcsolatos hatékonysági hiányosságok kezelése a teljes hálózaton. A kkv-k olyan könnyen használható megoldást szeretnének, amely segítségével biztonságban érezhetik magukat. Az ESET Vulnerability and Patch Management testreszabható patchelési házirendjei rugalmasságot és teljes kontrollt biztosítanak a vállalkozások számára, hogy végpontjaikat optimálisan és azonnal patchelhessék, minimalizálva a támadások kockázatát. Ennek a képességnek az elsajátítása azt is biztosítja, hogy betarthassák az egyre szigorodó kiberbiztosítási és szabályozási kritériumokat, és megfeleljenek a különböző ISO-szabványok támasztotta követelményeknek, amelyek cserébe pontos képet adnak a vállalkozások biztonsági helyzetéről.